安全公司:智能合約不是完美合約,四分之一存在關(guān)鍵性漏洞區(qū)塊鏈
智能合約能解決諸多問(wèn)題,但它們本身卻似乎問(wèn)題纏身。EOS中存在的RAM致命漏洞和原因一度成為幣圈頭條,一周后,一家代碼審核公司揭示了智能合約中普通存在漏洞的現(xiàn)象。安全公司Hosho與社區(qū)管理公司Amazix的最新合作發(fā)現(xiàn),每四個(gè)智能合約項(xiàng)目中就有一個(gè)存在嚴(yán)重的漏洞。
10億美元并不能保證不出現(xiàn)漏洞
10億美元——這是Hosho審計(jì)過(guò)的智能合約項(xiàng)目所籌集的資金數(shù)額。這家安全公司聲稱,它審計(jì)的智能合約比審計(jì)過(guò)的其他行業(yè)公司都要多。盡管這些項(xiàng)目有大量的人力和財(cái)力資源可供使用,但如果他們忽視對(duì)其代碼進(jìn)行徹底審查,他們中的許多項(xiàng)目將會(huì)陷入癱瘓。Hosho審計(jì)過(guò)的項(xiàng)目中,有四分之一被發(fā)現(xiàn)存在嚴(yán)重的漏洞,大約60%的項(xiàng)目至少存在一個(gè)安全問(wèn)題。
ICO項(xiàng)目的啟動(dòng)平臺(tái)以太坊受到的影響最為嚴(yán)重,其中存在的大量可利用代碼導(dǎo)致數(shù)億美元的以太幣被竊取或鎖定。雖然像Stratis這樣的智能合約平臺(tái)正在推動(dòng)使用C#來(lái)調(diào)試部署套件和專業(yè)反編譯器的可用性,但是以太坊的圖靈完備(Turing-complete)系統(tǒng)為漏洞留下了更大的余地。識(shí)別和消除所有潛在的安全漏洞是一項(xiàng)永無(wú)休止的的任務(wù),即使是經(jīng)驗(yàn)豐富的可靠開發(fā)人員也很難做到這一點(diǎn)。獲得專門從事智能合約審計(jì)的第三方的支持,雖然不能確保萬(wàn)無(wú)一失,但卻是避免發(fā)布漏洞叢生代碼的最好辦法。
智能合約測(cè)試服務(wù)
雖然行業(yè)慣例是在代幣發(fā)售前對(duì)智能合約進(jìn)行審計(jì),但尚未籌集資金的項(xiàng)目可能會(huì)嘗試走捷徑,在這一程序上節(jié)省開支。然而,這樣的做法可能是致命的,因?yàn)樽類盒缘穆┒磿?huì)導(dǎo)致錢包被洗劫一空,而通過(guò)操縱緩沖區(qū)溢出漏洞可以更改帳戶余額。數(shù)個(gè)基于以太坊的項(xiàng)目在執(zhí)行第一次智能合約時(shí)就搞砸了,然后被迫進(jìn)行代幣替換。
在EOS方面,本周所有的精力都集中在修復(fù)最近發(fā)現(xiàn)的RAM漏洞上。這個(gè)漏洞允許惡意用戶“在他們的帳戶上設(shè)置代碼,這樣他們就可以以另一個(gè)賬戶的名義插入執(zhí)行向他們發(fā)送代幣的代碼行。”當(dāng)DAPP/用戶向它們發(fā)送代幣時(shí),他們可以在行中插入大量無(wú)用數(shù)據(jù),從而鎖定RAM。
Amazix是加密貨幣經(jīng)濟(jì)領(lǐng)域內(nèi)一家卓越的社區(qū)管理和咨詢公司,現(xiàn)已與Hosho合作,為客戶提供智能合約審計(jì)服務(wù)。Amazix首席營(yíng)銷官肯尼思?貝爾森(Kenneth Berthelsen)說(shuō)道:“在缺乏行業(yè)標(biāo)準(zhǔn)的情況下,我們認(rèn)為智能合約審計(jì)和滲透測(cè)試是確保區(qū)塊鏈系統(tǒng)良好安全性的重要組成部分。在我們看來(lái),沒(méi)有誰(shuí)比Hosho的工程師更有資格做這件事的了。”
加密貨幣的擁躉者們認(rèn)為,智能合約最終會(huì)滲透到從保險(xiǎn)到糾紛解決等服務(wù)的方方面面中來(lái)。在此之前,在治理智能合約的代碼上建立信任至關(guān)重要。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
